即时消息安全要领(一)

即时消息IM)为工作场所带来许多好处,但会带来安全风险。本文概述了使用IM的组织的安全要点。

即时消息(IM)已经在消费者和商业用途中激增,员工使用它来相互之间进行通信,并且经常与组织外的人进行通信。它价格合理,易于部署,并提高了员工的工作效率。其中比较著名的一款即时通讯解决方案非SparkleComm莫属了。

但是,如果没有安全配置,增加的连接性可能会带来沉重的代价。IM允许病毒,特洛伊木马和其他恶意软件比电子邮件附件更容易搭载到您的网络中。IM消息可以包含指向恶意网站的链接,并且机密数据可能会受到损害。垃圾邮件(SPIM)也是一种威胁。

因此,IM安全性至关重要。以下是在不破坏银行的情况下保护IM的一些建议和最佳做法:

1、指定一个IM工具。对于内部IM,请确保使用单个企业软件应用程序。更多供应商正在为SMB提供IM产品,例如劳格的SparkleComm,它是一套方便快捷且安全保密的即时消息沟通平台,来实现内部及相关人员之间的沟通与交流。它安装在自己的专用服务器上,该服务器隐藏在公司防火墙的深处。像对待任何其他服务器一样强化该服务器:限制对授权用户的访问,关闭不必要的服务,安装防病毒软件并使补丁保持最新。仅在具有最新抗病毒保护和基于主机的防火墙的台式机上安装产品的客户端部分。

如何保护企业即时消息(二)

由于目前几乎所有支持IM的攻击都是通过用户交互传播的,因此可接受的使用策略和主动安全意识计划特别重要且有价值。与任何政策一样,在起草业务时要密切关注业务需求。最好的方法是对员工进行合法的业务相关沟通,同时确保满足任何法律和监管目标。无论如何,请根据您的电子邮件策略制定IM安全策略,因为可接受的使用限制将非常相似。但是,还需要包括其他区域。例如,您应该解决:

该组织将使用的唯一IM客户端。

帐户的命名约定,以便员工不能冒充其他员工。

个人联系信息的列表。

谁被允许使用IM(并非所有人都需要根据业务需求进行访问)。

允许用户与谁通信。

在线消息。

涵盖已批准和禁止的IM活动的准则,以防止可能危及安全性的操作,例如如何启动文件传输。

SparkleComm就做到了以上几点,它是一套方便快捷且安全保密的即时消息沟通平台,来实现内部及相关人员之间的沟通与交流,不会出现信息错转、漏接、延误,秘密泄漏等问题。

但是,在技术上难以在不使用即时消息传递防火墙或服务器的情况下实施覆盖IM的策略。这就是为什么我赞成在组织内托管整个基础架构。企业IM服务器可以通过流量分析和报告,关键字搜索和邮件存档帮助您实施大多数IM策略和法规要求。

展望未来,许多组织开始在其IM要求中看到移动电话互操作性的要求。移动即时消息(MIM)正迅速成为许多智能手机用户使用最多的功能。

边栏:阻止IM是一种选择吗?

因为如果不安装某种IM防火墙或在内部提供服务来控制即时消息的使用是如此困难,您可能会决定完全禁止使用即时消息。可以使用电子邮件在不同位置的员工之间快速安全地发送消息和文件。它们可以进行签名和加密,如果您有自己的邮件服务器,则可以保留所有邮件的完整副本以用于必要的审计跟踪。

采用这种方法意味着您的公司政策需要更新并传达给员工,以使他们了解安装和使用禁用IM软件的后果。否则,流氓IM用户会面临严重的安全风险,因为您的组织不会采取任何控制措施来防范IM威胁。

但是,完全禁止即时通讯意味着您会失去其不可置疑的商业利益。即使是了解IM所带来的风险的管理人员和IT人员似乎也支持使用IM,并指出增加的业务绩效可以抵消潜在的风险。

如何保护企业即时消息(一)

根据IDC调查,即时通讯将超越电子邮件作为企业通信的首选形式。但是,如果您不了解这些安全提示,则IM可能非常难以控制。

根据IDC公司进行的一项调查显示,即时消息 (IM)将超越电子邮件作为商业通信的首选形式。IM的实时性使其成为一种快速有效的手段进行合作和交换文件。许多人认为使用IM进行工作会带来更有效和高效的通信,只需要简短的响应,就可以减少电话或面对面会议的开销。

然而,即时消息可能具有破坏性,并且IM通信的安全性通常无法跟上其采用的步伐,使许多企业容易受到攻击。虽然现在大多数组织都有电子邮件安全产品,但更少有主动保护自己免受IM传播的威胁,更不用说通过正确的日志记录,审计和归档来控制即时消息的使用,或者建立正式的策略来确保适当的活动。

作为互联网上部署最广泛的应用程序之一,IM越来越成为受到IM传播的病毒,蠕虫,IM上的垃圾邮件(SPIM),恶意软件和网络钓鱼攻击等威胁的攻击者的目标。使用传统安全方法(例如端口阻塞防火墙)很难阻止即时消息传递,因为IM客户端使用端口爬网来利用防火墙上的任何开放端口,例如HTTP端口80或FTP端口21。

此外,大多数IM客户端可以自动调整其设置以连接到IM服务器,即使对其进行直接访问也是如此,将流量数据嵌入HTTP请求中,从而绕过任何协议分析防火墙。使用不断发展的专有IM协议来保持防火墙和代理更新是一项艰巨的任务,而网络性能通常会受到影响,因为大多数都不是为了检查和分析实时通信流量而设计的。

控制:企业即时消息系统

允许员工使用公共IM服务意味着您基本上将您的即时消息外包给第三方系统,您的公司没有合同,没有服务保证,也没有真正的控制权。这就是我喜欢使用企业IM系统的原因。使用如SparkleComm的企业IM系统,您可以更轻松地控制帐户,并设置策略来管理谁可以使用它,控制帐户命名策略的内容,哪些部门可以与其他部门或公司网络外的人员通信,以及哪些用户或工作类别可以传输文件。您还可以实施端到端加密,强大的用户身份验证以及可配置的内容和URL过滤器。

企业即时消息是一个不断增长的市场,根据您的组织规模和要求,有许多不同的服务和产品可供选择。微软的Office Live Communications Server,Loogear inc. 的SparkleComm是领先的EIM平台。这些平台包括加密和过滤功能,以阻止恶意软件进入内部网络,并保留敏感数据。免责声明可以添加到对话中,通知用户他们的消息正在被监控。当点击聊天会话期间提供的链接时,也可以阻止员工访问已知问题站点。许多产品还可以将访问控制集成到操作系统的身份验证机制(如Active Directory)中。

在考虑IM产品时,请检查它是否支持XMPP协议。与大多数即时消息传递协议不同,XMPP是一种开放标准,允许用户使用其他协议访问网络。它已成为美国国防部和许多大型金融机构的官方IM标准。谷歌采用XMPP作为其Google Talk服务的基础,大多数其他主要即时消息提供商正在构建与XMPP网络接口的桥梁。

越来越热门的即时消息(一)

即时消息已经不是什么稀罕的词语,随着网络的发展、科技的发达,即时性的沟通已经越来越重要,人们常常用到它却不知道什么是即时消息

什么是即时消息

即时消息通常缩短为IM,是通过独立应用程序或嵌入式软件进行实时的消息交换。与许多用户参与多个重叠对话的聊天室不同,IM 会话通常在两个用户之间以私密,来回的通信方式进行。目前常用的即时消息工具有国外的ICQ、MSN Messenger等,以及国内网站经营的QQ、微信、SparkleComm等。

许多即时消息客户端的核心功能之一是能够查看朋友或同事是否在线并通过所选服务进行连接,这种功能称为状态。随着技术的发展,许多IM 客户端增加了对交换不仅仅基于文本的消息的支持,允许在IM会话中执行文件传输和图像共享等操作。

即时消息与电子邮件的不同之处在于消息交换的即时性。IM也倾向于基于会话,具有开始和结束。由于IM旨在模仿面对面的对话,因此单个消息通常很简短。另一方面,电子邮件通常反映了较长形式的书写风格。

即时消息的工作原理

通常,IM用户必须知道彼此的用户名或屏幕名称才能启动IM会话或将其添加到其联系人列表或好友列表中。一旦识别并选择了收件人,发件人就会打开IM窗口以开始会话。

为了使即时消息能够按预期工作,两个用户必须同时在线,尽管几乎所有即时消息平台现在都允许在线和离线用户之间的异步交互。如果不支持脱机消息传递,则尝试IM不可用用户将导致无法完成传输的通知。此外,预期收件人必须愿意接受即时消息,因为可以配置 IM客户端拒绝某些用户。

收到IM后,它会通过包含传入消息的窗口向收件人发出提示。或者,根据用户的设置,窗口可以指示即时消息已到达以及接受或拒绝它的提示。许多IM客户端还通过独特的声音(例如铃声或咳嗽声)以可听见的方式通知用户。当消息到达时,还可以通过闪烁IM窗口或其任务栏图标来可视地通知用户。

虽然过去即时消息客户端经常基于专有协议,要求两个用户使用相同的软件进行通信,但开放标准的采用已变得越来越普遍。这使得多平台即时通讯工具的兴起成为可能。

采用SparkleComm如何实现更好的沟通与协作

沟通与协作,这就是工作的完成方式。想法如何传播?我们如何保持联系?无论是通过电子邮件,还是通过发短信都无关紧要。如果没有沟通,就没有进展。

SparkleComm,我们通过统一的通信网络帮助保持沟通渠道的畅通,使您的员工能够随时随地进行几乎任何形式的沟通。

我们的功能包括:

IP电话

从桌面电话到桌面拨打电话,电话在数字时代呈指数级增长,SparkleComm提供基于网络的IP电话。支持多种语音编码;支持与主流的IPPBX对接;支持IMS(有与中兴通讯及华为IMS成功对接案例);支持呼叫转移、偏转、会议、三方等功能;支持模拟对讲机接入;支持状态呈现(Presense)。

会议

团队合作。凭借今天的技术,它从未如此简单,或者对话更加强大。我们提供真正的协作环境,包括视频,屏幕共享,文件共享和许多其他功能,可以在很短的时间内传递消息。

消息

电子邮件是有目的的,但它也有其局限性。发送电子邮件时会发生什么?您知道收件人是否已阅读您的电子邮件?或者,如果他们是否在使用他们的电脑?借助IM和在线状态,您可以在几分钟内去完成需要长时间通过电子邮件解决的内容。使用SparkleComm只需点击鼠标,即可根据需要从IM聊天升级到电话,甚至升级到完整的视频会议。通过允许您的员工立即获取信息,消除浪费的时间并减少会议以满足会议的需要。

移动性+自带设备

随着越来越多的人希望在商业和教育环境中使用他们自己的个人移动设备,支持这些请求的通信系统的需求变得越来越重要。手机和平板电脑正在成为最常见的通信方式,但很少成为企业环境的一部分。SparkleComm的核心组建采用最稳定可靠的C/C++开发,是目前同行业中支持操作系统产品系列。用户可以任意选择最适合的部署方案。其支持的操作系统包括且不限于:Linux/Windows/macOS/Unix/Android/iOS。

安全

SparkleComm采用特有的保密通话技术,支持客户端(app2app)端到端动态加密,使得通话内容无法被窃听。

即时通讯(IM)

即时消息通常缩短为IM,是通过独立应用程序或嵌入式软件交换近实时消息。与许多用户参与多个重叠对话的聊天室不同,IM 会话通常在两个用户之间以私密,来回的通信方式进行。

许多即时消息客户端的核心功能之一是能够查看朋友或同事是否在线并通过所选服务进行连接 - 这种功能称为状态。随着技术的发展,许多IM 客户端增加了对交换不仅仅基于文本的消息的支持,允许在IM会话中执行文件传输和图像共享等操作。

即时消息与电子邮件的不同之处在于消息交换的即时性。IM也倾向于基于会话,具有开始和结束。由于IM旨在模仿面对面的对话,因此单个消息通常很简短。另一方面,电子邮件通常反映了较长形式的书写风格。

即时消息的工作原理

通常,IM用户必须知道彼此的用户名或屏幕名称才能启动IM会话或将其添加到其联系人列表或好友列表中。一旦识别并选择了预期的收件人,发件人就会打开IM窗口以开始会话。

为了使IM能够按预期工作,两个用户必须同时在线,尽管几乎所有即时消息平台现在都允许在线和离线用户之间的异步交互。如果不支持脱机消息传递,则尝试IM不可用用户将导致无法完成传输的通知。此外,预期收件人必须愿意接受即时消息,因为可以配置 IM客户端拒绝某些用户。

收到IM后,它会通过包含传入消息的窗口向收件人发出警报。或者,根据用户的设置,窗口可以指示IM已到达以及接受或拒绝它的提示。许多IM客户端还通过独特的声音(例如铃声或唧唧声)以可听见的方式通知用户。当消息到达时,还可以通过闪烁IM窗口或其任务栏图标来可视地通知用户。

虽然过去IM客户端经常基于专有协议 - 要求两个用户使用相同的软件进行通信 - 开放标准的采用已变得越来越普遍。这使得多平台即时通讯工具的兴起成为可能,例如Pidgin和Trillian。

IM的另一个重要转变是如何访问和交付。长期部署为必须下载和安装的桌面客户端,现在更多地将即时消息作为另一个基于Web或云的服务(如Facebook,Gmail和Skype)中的一项功能,或作为移动应用程序,比如WhatsApp Messenger。

即时通讯功能

长期以来,文本交换一直是即时通讯的主要功能,但它现在已成为许多人的一个特征。现在,将图像和表情符号插入到消息中的能力在许多客户端中都是标准的,文件传输也是如此。Facebook Messenger甚至允许用户通过IM汇款。现在,许多客户支持从IM升级到其他通信模式,例如群聊,语音通话或视频会议

Presence使用户能够查看其联系人的可用性 - 不仅是他们是在线还是离线,还有他们是否表明他们的状态是空闲还是忙碌。一些客户还使用户能够设置“离开消息”,提供有关其有限或缺乏可用性的更多详细信息。在两个用户之间的活动会话中,大多数客户端还可以在另一个用户键入时实时向一个用户指示。

流行的即时通讯软件

重庆劳格科技有限公司研发的即时通讯解决方案SparkleIM是一套方便快捷且安全保密的即时消息沟通平台,来实现内部及相关人员之间的沟通与交流。

Instant Message如何工作(二)

主要的IM实用程序使用其他即时消息服务无法理解的专有协议,因此通常阻止一个服务的用户联系另一个服务的成员。 AIM最初流行的一个关键原因是它允许AOL用户与非成员通信。美国在线 - 时代华纳合并2001年的一项规定是AOL允许访问AOL社区和AIM协议,但从那时起,其他即时通讯实用程序提供了更多的可访问性。微软和雅虎!在2006年联手,允许他们的用户通过一项服务相互沟通。

IM功能近年来大大扩展。大多数服务提供文件共享,AOL,Yahoo!,Google和MSN已将IM服务与电子邮件服务集成在一起,因此用户可以在即时消息传递时接收电子邮件通知。许多提供商还允许用户通过手机和移动设备进行IM和文件共享,从而可以随时随地访问他们的服务。 Google Talk用户可以存档IM对话,还可以将文件和文件夹直接拖到聊天窗口,并在朋友的聊天窗口中立即显示照片。 Windows Live Messenger允许Xbox 360游戏玩家之间的即时消息传递。个性化功能爆炸式增长,IMers能够自定义个人图标,屏幕界面和问候语。

大多数IM程序,包括Windows Live Messenger和Google Talk,都允许用户像通过电话一样进行通话,有些还提供视频聊天功能。

几个免费工具组合了各种服务。 Trillian为AIM,ICQ,Windows Live,Yahoo!提供了一个集中的位置。 Messenger和IRC联系人。所有联系人都显示在同一窗口中,不同颜色的圆圈代表每项服务。 Trillian的“metacontact”功能在联系人列表中为具有多个IM会员资格的人显示一个条目,并且它是唯一提供视频聊天功能的多服务客户端。

值得注意的是,即时消息传递不被视为一种安全的通信方式。消息和连接信息由IM实用程序提供程序控制的服务器维护。大多数实用程序确实提供了一定级别的加密,但它们并不安全,您应该通过系统发送任何机密信息。据报道,有各种各样的IM用户日志被捕获和使用,黑客已经知道即时消息受病毒感染的文件。互联网协议语音被认为比基于文本的即时消息更容易受到渗透。

所以区别于传统的公共即时通讯系统,劳格科技研发了专为企业用户使用的统一通信平台—SparkleComm。采用私有的云端服务器,动态加密算法,第一保障安全,安全通话、安全发送文件。SparkleComm作为新一代的通讯平台,不仅包括用于企业内部员工交流沟通的即时消息功能,还包括基于网络的IP电话电话会议视频会议等,满足于员工工作的需求并为企业提供安全且统一的管理,相对于公共通讯系统来说不用担心消息文件的泄露。

Instant Message如何工作(一)

在互联网开始流行之前,很多人已经上网了。主要的有在线服务,如美国在线(AOL),Prodigy和CompuServe,是普通人可以在线连接和互相交流的主要方式。在线服务提供您在连接到服务时使用的实际界面,从而为用户创建有针对性的体验。

在20世纪90年代早期,人们开始在互联网上花费越来越多的时间。创意软件开发人员设计了聊天室软件并在Web服务器上设置了聊天室。在聊天室中,一群人可以输入“房间”中每个人都可以看到的消息。即时消息基本上只是两个人的聊天室。

1996年11月,即时通讯在互联网上迅速爆发。当时Mirabilis推出了ICQ,这是一款免费的即时通讯工具,任何人都可以使用。 ICQ是“我寻找你”的简写,它使用一种名为客户端的软件应用程序,它位于您的计算机上。只要您在线且客户端正在运行,客户端就会与ICQ服务器通信。

1997年,AOL被认为是在线社区的先驱,它使用户能够通过聊天室和即时消息实时交谈。 1998年6月,AOL收购了Mirabilis和ICQ。

在AOL收购ICQ后不久,AOL Instant Messenger(AIM)成为了IM的领导者。然而,在过去几年中,许多服务已经切入了AIM的受众。 Windows Live Messenger(以前称为MSN Messenger)和Yahoo!特别是Messenger已经在全球广泛使用。谷歌推出了其IM系统Google Talk。像Trillian和Pidgin这样的专有多协议应用程序(允许用户同时在多个服务上进行IM)也正在迅速普及。根据衡量互联网使用情况的comScore 2006年的一项研究,大约一半的在线人口使用IM。

所以即时通讯从很久开始就已经在公众中流行,然后快速发展至今。从只是单独的文字聊天,到现在多种多样的语音、视频等,只有快速跟上时代的步伐,我们才不会被遗弃在历史的泥流中。劳格科技一直在即时通讯方面研发并有创新。具体详情可见《即时通讯解决方案》。

IT如何限制流行的消息传递应用程序的风险

在与IT影子的斗争中,CIO面临着比现代消费者消息传递应用更大的挑战。在许多情况下,WhatsApp,Facebook Messenger,iMessage和Google Hangouts等应用程序的流行已经为企业中的消费者通信工具带来了更加开放的IT方法。

当企业领导者让员工使用他们的个人设备工作时,可以安全地假设多个消费者即时消息应用程序也将发挥作用。Gartner的研究主管Adam Preset表示,CIO和IT团队有责任减轻因在工作中不小心使用此类应用程序而可能带来的潜在问题。CIO应该意识到消费者消息应用程序可以提高员工效率,但他们也应该尝试让员工做出不会威胁他们组织的选择,他说。

消费者消息传递,加密和企业

幸运的是,对于CIO来说,安全性已经成为许多制造这些应用程序的公司的首要任务。拥有超过10亿月活跃用户(MAU)的WhatsApp 在2月份将端到端加密作为默认消息传递标准,今年夏天超过10亿MAU的 Facebook Messenger 表示它目前正在端到端测试加密。拥有大约1亿MAU的Telegram称自己是 “大众市场信使” 的“更安全”替代品。谷歌也在其最近发布的视频通话应用程序Duo中构建了端到端加密技术,并计划为即将推出的Allo消息传递做同样的事情。

Preset表示,许多首席信息官欢迎消费者信息应用程序中加密协议的兴起,但他们的担忧并非以“发送”和“接收”结束。“消费者应用程序的条款和条件不利于企业,在最好的情况下,这些应用程序内传输的信息由个人拥有,”他说。缺少核心企业功能的中央帐户配置,企业领导者“依赖于个人聊天线程所有者,跟踪谁应该在一个群组中,谁应该被驱逐出去,这可能意味着错误的人可以访问敏感数据。”

据业务VoIP供应商Nextiva的首席信息官Josh Lesavoy称,安全漏洞和网络漏洞是消费者信息应用的主要问题。“我们无法控制在这些应用上讨论和分享的内容,以及谁可以入侵应用并访问信息,”他说。“安全性始终是一个巨大的问题,但我们采取了更积极的方法来教育我们的团队正确使用消息传递应用程序。”

IT部门在观察时会更加小心

Lesavoy试图通过强化员工注意他们使用这些应用程序共享和存储的信息来限制消费者消息传递应用程序的负面潜在影响。他说,当员工知道他们的IT部门监控消息应用程序的使用时,他们也会更加谨慎。

Preset表示,一旦企业领导者了解员工使用某些应用程序的原因,他们就可以开始培养一种有组织的文化,其中包含旨在促进负责任行为的指导方针。企业领导者应提醒员工应保留机密对话,更新沟通政策并特别关注管理关键信息的团体或个人。“沟通就像水,”Preset说。“它通过阻力最小的路径流动。”

在Nextiva,Lesavoy知道该公司的许多员工使用Facebook Messenger和WhatsApp,但他说他的员工无法在个人设备上密切关注这些应用程序。“我们专注于让我们的团队成员保持参与和忙碌,这样他们就有更少的时间花在消息应用上。”

而不是完全阻止这些应用程序,IT的最佳选择通常是促进减轻相关风险的最佳实践。虽然Facebook,WhatsApp和其他流行的消息传递应用程序可能会出现问题,但是Lesavoy担心的选择较少,而且新手们也很担心。“今天最让我关注的应用程序是我们还不了解的应用程序,”他说。“技术发展如此迅速,以至于很难预测即将发生的事情,而且不确定性很难规划。”

Google Area 120的第一个Android项目是没有键盘的消息应用程序

enter image description here

早些时候,谷歌启动孵化区120的第一个应用是live,但仅限于iOS应用商店。值得庆幸的是,没过多久,第一个应用就出现在了Play商店,你难道不知道吗,这是另一个即时通讯应用。

这款跨平台应用程序名为Supersonic Fun Voice Messenger,与众不同之处在于,它无需键盘,只需口述文本。这有点像对讲机的现代旋转。当你说话的时候,你的单词会自动转换成文本和任何相关的表情符号,所以即使你不能分辨出做鬼脸和咧嘴笑的表情符号,你也可以像12岁那样说话。消息是实时传递的,因此没有编辑,即使它选择了一个你不完全理解的表情符号。

另一方面,朋友可以阅读转录的内容或听取你所说的内容。消息听到之后就会消失,顾名思义,它的设计非常随意,所以你可能不会向你的老板发送任何Supersonic消息。消息可以发送给个人或团体,但您需要让您的朋友加入Supersonic应用程序才能开始使用。

在我们有限的测试中,语音识别很明显,尽管表情符号在时间上是难以辨认的。例如,我指出,“这是对我的Google Pixel手机上的Supersonic Fun Voice Messenger的测试”,您可以通过查看右侧的最后一条消息来查看上图中的结果。然而,音频选项应该清除任何混乱,它可以使一些有趣的Rebus谜题。

应用中没有太多设置,但它确实考虑了表情符号建议。例如,如果你认为它应该显示一个钱口表情符号而不是钱包,当你说“现金”这个词时,你可以向应用程序的开发者推荐它。此外,您可以选择在收到新消息时自动播放,并选择是通过主扬声器还是电话接收器播放消息。

从表面上看,Supersonic Fun Voice Messenger是Google员工在他们业余时间制作的一个愚蠢的虚荣项目,但这里面也有一些有趣的事情。对讲机概念是快速消息传递的有趣旋转,表情符号组件虽然肯定不适合所有人,但却为对话增添了一丝乐趣。这是我们可以看到进入未来Allo版本的功能。